Falsos positivos con Elistara

Alucard2k · Mensaje por **Alucard2k** » 14 Nov 2006, 16:02

Hola, recientemente descargé Elistara de su página para analizar posibles problemas de virus en mi PC.

Al estar ejecutando el programa, noté que los archivos que considera virus son eliminados sin consultar al usuario, por esa razón interrumpí el escaneo.

El archivo infosat.txt hasta el momento en que interrumpí el escaneo contiene:

[code]

	  Mon Nov 13 17:05:52 2006
EliStartPage v12.70  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\PCSINST]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\PCSINST.DLL
 a "virus@satinfo.es". Gracias.
Eliminados Ficheros Temporales del IE

	  Mon Nov 13 17:12:05 2006
EliStartPage v12.70  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\lotus\compnent\flters98\KPPRZRDR.DLL --> Eliminado, NetNucleus (BHO)
C:\Program Files\Sonic\Express Labeler\STAX.EXE --> Eliminado, StartPage-IN
C:\temp\atron\ARMAGETRONAD-0.2.8.2.1.GCC.WIN32.EXE --> AutoExtraible
C:\temp\sharpE\SHARPECVS6SETUP.EXE --> AutoExtraible
C:\WINDOWS\system32\CWBWIZ.DLL --> Eliminado, WinAd
[/code]

Ahora, el problema ocurre con estos tres archivos:

KPPRZRDR.DLL : Este archivo es un filtro de Lotus Smartsuite 98, para la conversión de archivos.

STATX.EXE : Este archivo es parte del software de creación de etiquetas de CD "Sonic Express Labeler".

CWBWIZ.DLL : Este archivo es parte del software iSeries Access for Windows que proporciona IBM a sus clientes para la administración y configuración de sus servidores iSeries (AS400).

No se por qué razón Elistara decidió que estos archivos debían ser eliminados, todos estos archivos son proporcionados a los empleados de IBM como parte de la imagen predeterminada instalada en sus sistemas.

¿Es posible recuperar estos archivos, a pesar de que Elistara los marca como eliminados? Es molesto tener que reinstalar los programas porque Elistara no me preguntó que hacer con ellos.

Gracias.

Mensaje por **msc hotline sat** » 14 Nov 2006, 16:52

Efectivamente, siempre cabe la posibilidad de que la cadena de deteccion de un malware esté contenida por casualidad en algun fichero atípico, en tal caso pedimos que nos envien dicho fichero original para encontrar una nueva cadena que esté igualmente contenida en el virus y no en dicho fichero.

Incluso McAfee, lider mundial en antivirus, adolece de alguna que otra deteccion de falsos positivos, y no digamos algun que otro antivirus cuya heuristica detecta muchos mas.

En cualquier caso ofrecemos la posibilidad de cambiar las cadenas de deteccion concretas si nos envian los originales de dichos ficheros y buscaremos otras cadenas que detecten igualmente dichos malwares pero que no estén en dichos ficheros. (como los demas fabricantes) y con ello mejorar la utilidad al respecto.

Mientras, una vez instalado de nuevo dichas aplicaciones, no usar dicha utilidad, o cualquier otra que detecte cadenas de deteccion virica en un fichero que se sepa con seguridad que no lo es, hasta que informemos, en el foro en este caso, de nueva version con correcion de dicha incidencia

Y a su pregunta de si es posible recuperar los archivos borrados, se eliminan como virus que se entiende que son y deben reinstalarse las aplicaciones para volver a disponer de ellos.

Y efectivamente, cuando se detecta la cadena de deteccion en un fichero no se pregunta qué hacer, se elimina y punto. Otra cosa es si se considera sospechoso por detectarse heuristicamente trazas o pistas que presuponen la posibilidad de que sea malicioso, en cuyo caso se renombra o se mueve a cuarentena, para poder enviarnos muestra y, tras el analisis, volverlo a habilitar o utilizar una nueva version de la utilidad que lo detectare.

Son mas de 225.000 las variantes de virus y mas de 200 nuevos los que aparecen a diario, por lo que cada día hacemos nuevas versiones, mejorando las anteriores y contemplando las nuevas muestras recibidas, pedidas por las mismas utilidades, por nuestro servicio tecnico o por los propios usuarios ante sospecha mas o menos fundada, y gracias a ello los vamos manteniendo a raya...

Confiamos nos envie los ficheros originales a zonavirus@satinfo.es para mejorar esta deteccion en la siguiente version.

Agradecemos su colaboracion y esperamos que no le haya sido de gran transtorno, y por si fuera el caso, le recordamos que simplemente copiando las de otro ordenador que utilizara la misma version de dichas aplicaciones, con copiarles :

C:\lotus\compnent\flters98\KPPRZRDR.DLL

C:\lotus\compnent\flters98\KPPRZRDR.DLL

C:\WINDOWS\system32\CWBWIZ.DLL

será suficiente, ya que los demas eran de carpetas temporales y en consecuencia no imprescindibles mas que en sesion temporal, no utilizables en el futuro,

Por otro lado, recuerde enviarnos el fichero :

·"Por favor, envienos una muestra del fichero

C:\WinLogon\PCSINST.DLL "

para analizar y obrar en consecuencia

recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 14-11-2006

Mensaje por **msc hotline sat** » 15 Nov 2006, 16:47

Recvibida miestra del CWBWIZ.DLL para excluir su deteccion.

Se procesa esta tarde y esta noche se subirá a la web nuevo ELISTARA que eñlidorá la detecion de estos ficheros, miestras que seguirña detectando los infectados al respecto, a traves de otras cadenas de deteccion.

saludos

ms, 15-11-2006

15112006ES